Skapa och tilldela en anpassad roll i Microsoft Entra-ID

I den här artikeln beskrivs hur du skapar nya anpassade roller i Microsoft Entra-ID. Grunderna för anpassade roller finns i översikten över anpassade roller. Rollen kan tilldelas antingen i katalognivåomfånget eller endast i ett resursomfång för appregistrering.

Anpassade roller kan skapas på sidan Roller och administratörer i administrationscentret för Microsoft Entra.

Förutsättningar

  • Microsoft Entra ID P1- eller P2-licens
  • Administratör för privilegierad roll
  • Microsoft.Graph-modul när du använder PowerShell
  • Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Skapa en roll i administrationscentret för Microsoft Entra

Skapa en ny anpassad roll för att bevilja åtkomst för att hantera appregistreringar

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj Ny anpassad roll.

    Skapa eller redigera roller från sidan Roller och administratörer

  4. På fliken Grundläggande anger du ett namn och en beskrivning för rollen.

    Du kan klona baslinjebehörigheterna från en anpassad roll, men du kan inte klona en inbyggd roll.

    ange ett namn och en beskrivning för en anpassad roll på fliken Grundläggande

  5. På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar. En detaljerad beskrivning av varje behörighet finns i Undertyper och behörigheter för programregistrering i Microsoft Entra-ID.

    1. Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten microsoft.directory/applications/credentials/update .

      Välj behörigheter för en anpassad roll på fliken Behörigheter

    2. Ange sedan "basic" i sökfältet, välj behörigheten microsoft.directory/applications/basic/update och klicka sedan på Nästa.

  6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

    Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.

Skapa en roll med PowerShell

Logga in

Använd kommandot Connect-MgGraph för att logga in på din klientorganisation.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Skapa en roll med Microsoft Graph API

Följ de här stegen:

  1. Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Brödtext

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Kommentar

    "templateId": "GUID" är en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med vanliga parametrar är det bäst att skapa en mall och definiera ett templateId värde. Du kan generera ett templateId värde i förväg med hjälp av PowerShell-cmdleten (New-Guid).Guid.

  2. Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Brödtext

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Tilldela en anpassad roll som är begränsad till en resurs

Precis som inbyggda roller tilldelas anpassade roller som standard i det organisationsomfattande standardomfånget för att bevilja åtkomstbehörigheter för alla appregistreringar i din organisation. Dessutom kan anpassade roller och vissa relevanta inbyggda roller (beroende på typen av Microsoft Entra-resurs) också tilldelas i omfånget för en enda Microsoft Entra-resurs. På så sätt kan du ge användaren behörighet att uppdatera autentiseringsuppgifter och grundläggande egenskaper för en enskild app utan att behöva skapa en andra anpassad roll.

  1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

  2. Bläddra till Appregistreringar för identitetsprogram>>.

  3. Välj den appregistrering som du beviljar åtkomst till för att hantera. Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din Microsoft Entra-organisation.

    Välj appregistreringen som ett resursomfång för en rolltilldelning

  4. I appregistreringen väljer du Roller och administratörer. Om du inte redan har skapat en, finns instruktioner i föregående procedur.

  5. Välj rollen för att öppna sidan Tilldelningar .

  6. Välj Lägg till tilldelning för att lägga till en användare. Användaren beviljas alla behörigheter för endast den valda appregistreringen.